世界最大級のセキュリティカンファレンス「DEF CON 」。
今年もGMOインターネットグループからは、「DEF CON CTF Finals」、「AppSec Village CTF」、「Hardware Hacking Village」、「Cloud Village CTF」、といった4種類の国際ハッキングコンテスト(以下、CTF)に、GMOサイバーセキュリティ byイエラエ・GMO Flatt Securityから出場し、世界の舞台で技術力を証明しました。
本記事は【前編】「DEF CON 33」CTFの舞台裏|「Takumi byGMO」が証明したAIの実戦力に続く後編として、 GMOサイバーセキュリティ byイエラエから「DEF CON 33」のCTFに出場した2チーム、 「Cloud Village CTF」で3連覇を果たした「GMOイエラエ」と、「DEF CON CTF Finals」で世界2位を獲得した国際チーム「Blue Water」の挑戦に迫ります。
世界トップレベルの戦いに身を置いたエンジニアたちが語る、勝利に必要な「準備」「戦略」「実装力」とは──そのすべてを現地の温度感とともにお届けします。
目次
はじめに
2025年8月、アメリカ・ラスベガスで開催された「DEF CON 33」は、世界中のセキュリティエンジニアや研究者が集う一大イベントです。
世界中のセキュリティ技術者が集うこの祭典で開催されるCTFに、GMOインターネットグループからも複数のチームが参加し、世界トップクラスの技術力を示しました。
本記事では、現地ラスベガスにて「GMOイエラエ」「Blue Water」の両チームに行ったインタビューをもとに、それぞれの挑戦の軌跡を紹介します。
「Cloud Village CTF」で3連覇を達成した「GMOイエラエ」、そして最高峰の「DEF CON CTF Finals」で世界2位に輝いた国際チーム「Blue Water」。
異なる競技形式・役割で挑んだ2チームの戦略、チーム連携、現場での学びを通じて見えてきた、実務にもつながる技術と知見とは──それぞれの視点から、挑戦の“リアル”に迫ります。
インタビュー参加者紹介
小池 悠生|GMOサイバーセキュリティ byイエラエ株式会社 執行役員 CTO 兼 高度解析部 部長
所属チーム:「Blue Water」
2020年、サイバーセキュリティのスタートアップ創業メンバー。2023年GMOイエラエ サイバーセキュリティ事業本部執行役員に就任。ファジングを中心としたサイバーセキュリティに関する研究、コンサルティング、ペネトレーションテストなどを担当。日本を代表するCTFチーム「binja」のキャプテンとして国際CTFで受賞実績多数。「CODE BLUE 2015」U25スピーカー
渡部 裕|GMOサイバーセキュリティ byイエラエ株式会社 高度診断部 高度診断課 シニアエンジニア
所属チーム:「GMOイエラエ」
Webアプリケーション診断やペネトレーションテストに強みを持つセキュリティエンジニア。保有資格はOSWE(Offensive Security Web Expert)。CTF競技歴も長く、「SECCON CTF」や「DEF CON」などで入賞経験を持つほか、「SECCON Beginners(2017〜2019)」では講師としても活動。著書に『アプリケーション脆弱性診断ガイドライン』『詳解セキュリティコンテスト(共著)』など。
小田切 祥|GMOサイバーセキュリティ byイエラエ株式会社 高度診断部 クラウドセキュリティ課
所属チーム:「GMOイエラエ」
Webアプリケーション脆弱性診断や開発業務などを経験したのち、2022年に新卒でGMOサイバーセキュリティ byイエラエに入社。現在は、AWS・Azure・GCPといったクラウド環境を対象とした診断を中心に、社内向けのCSPM(クラウドセキュリティポスチャ管理)ツール開発にも従事。
水野 沙理衣|GMOサイバーセキュリティ byイエラエ株式会社 オフェンシブセキュリティ部 ペネトレーションテスト一課
所属チーム:「GMOイエラエ」
2023年新卒入社。Web脆弱性診断を経て、現在はペネトレーションテストを担当。OSWP・OSCP・OSEP・OSWE・CISSP 保持。2022年より女性セキュリティ技術者団体「CTF for GIRLS」運営に参画し、WebやPentest、Revの講師を担当。2024年から副代表を務め、ワークショップのリードなども行う。同年、国際CTF「Kunoichi cyber games」日本代表として出場。「SECCON」実行委員や「Hack Fes.」講師、Software Design誌への執筆など社外活動も多数。
「DEF CON 33」とは?
「DEF CON 33」は、世界中のホワイトハッカーや研究者が集う、世界最大級のセキュリティカンファレンスです。
毎年8月にアメリカ・ラスベガスで開催され、サイバーセキュリティに関する情報交換やハッキング技術の発表、CTFと呼ばれるサイバーセキュリティの技術を競う国際的なハッキングコンテストなどが行われ、サイバーセキュリティ業界内で最も重要で影響力のあるイベントの一つとされています。
<開催概要>
- 日程:2025年8月7日〜10日
- 会場:Las Vegas Convention Center West Hall
- 参加者:数万人規模
- 主な内容:CTF(本戦・Village)、50以上の専門ブース、技術展示、講演など
- 公式サイト:https://defcon.org/
出場の背景──なぜ「DEF CON」に挑み続けるのか?
Q. 「DEF CON 33」への参加には、どんな背景や想いがあったのでしょうか?
小池
私が所属する「Blue Water」は、世界最高峰の大会「DEF CON CTF Finals」での優勝を目標に、世界各国の精鋭が集まって結成された国際CTFチームです。
元をたどると、GMOサイバーセキュリティ byイエラエ(以下、GMOイエラエ)では以前まで、日本人メンバーのみで構成された少数精鋭チームで出場していました。ですが、年々競技レベルが高まるなか、少人数では歯が立たず、数年前初めて予選敗退を経験することになりました。そんな中、「Blue Water」側から声をかけてもらい、私をはじめとするGMOイエラエのメンバーがジョインすることになったんです。
「DEF CON CTF Finals」ではここ数年、同じチームが連覇し続けている状況が続いています。だからこそ、歴史を塗り替えたいという強い気持ちでこの舞台に立っています。
渡部
CTFの大会って本当にたくさんあるんですが、やっぱり「DEF CON」は技術的な権威もあって、名前が知られている特別な舞台だと思っています。特に、CTFプレイヤーにとって「DEF CON CTF Finals」は、憧れの場でもありますよね。
「DEF CON」ではこの「DEF CON CTF Finals」以外にも様々なCTFが開催されていて、その中でも「Cloud Village CTF」は、自分たちの業務ととても親和性が高くて。クラウド環境の権限設定や脆弱性診断など、まさに日々やっていることがそのまま競技内容に反映されているので、挑む意味があると感じていますね。
小池
また、GMOイエラエ社内ではもともと、学生時代からCTFに取り組んできたメンバーが多く在籍しており、CTFはひとつの文化として根付いています。近年では会社としてもCTF参加を応援する制度や環境整備が進んでおり、自然と出場が当たり前のような風土ができてきたのも背景として大きいです。
「Cloud Village CTF」3連覇の裏側──「GMOイエラエ」チームの強さとは
Q. 「Cloud Village CTF」での3連覇、おめでとうございます!皆さんが考える「GMOイエラエ」チームの強さの秘訣はどこにあると思いますか?
渡部
「GMOイエラエ」チームには、CTF経験が豊富な国内トッププレイヤーが多数在籍しています。各自が特定分野に高い専門性を持っていて、チーム内でのコミュニケーションも非常に活発です。そうした雰囲気のなかで、メンバー間で自然と楽しみながら競技に臨めるのが、強さの一つだと思っています。
小田切
常に10人以上がアクティブに動ける人海戦術が取れるのも、大きな強みです。「このタイプの問題ならこう解く」といった経験に基づく勘が活きた場面も多く、まさにチーム力が試される構成だったと感じました。
水野
クラウド分野に関する専門知識を持ったメンバーが多く、それぞれの得意分野から多角的なアプローチができたのは大きかったですね。私は今回、「DEF CON 33」現地にも参加していたのですが、現地に行かないと解けないタイプの問題が出題された際には、すぐに「Cloud Village」に駆け付けて対応できたのが印象に残っています。初動の速さが勝負を分ける場面も多かったので、その点では貢献できたかなと思います。
難化した大会でこそ発揮された「強さ」
Q. 今年の「Cloud Village CTF」は、どんな印象でしたか?
渡部
今年は300を超えるチームが出場し、例年以上に問題の難易度や解くスピードが求められた印象でした。スコアの競り合いもかなり激しく、自動化による効率化は間違いなく勝敗を分けるポイントになっていましたね。一方で、難易度の高い問題に対しては、丁寧に状況を整理して一つずつ突破していく力も求められていて、そこは「GMOイエラエ」チームとしての地力が発揮できたと感じています。
水野
今年は中核メンバーの渡部・小田切・安里(オンライン参加)の解くスピードがとにかく速くて頼もしかったです。その他ですと、サイバー犯罪対策センター 局長を務める福森(CTF歴20年以上)がオンラインでサポートしてくれる場面もあり、チーム内での若手とベテランの連携が見事に機能していました。
渡部
徹夜で取り組んだ問題が実は出題ミスで、朝方になって差し替えられるなんていうハプニングもありました。大変でしたが、だからこそ強く印象に残る大会になりましたね(笑)。
「Blue Water」が挑んだ「DEF CON CTF Finals」、その裏側
Q. 世界2位という好成績、おめでとうございます!今のお気持ちは?
小池
ありがとうございます。ただ、正直なところ「悔しい」のひと言に尽きますね。もちろん、世界中から強豪が集まるなかで2位という成績は誇るべき結果だと思いますが、本音としては、あと一歩届かなかったという感覚が残りました。
「勝ちたかった」という気持ちが強く、チームメンバーも一様に「もっとやれたかもしれない」と感じていたと思います。やればやるほど、課題や改善点が見えてくるのがこの競技の奥深いところですね。
Q. 「Blue Water」のチーム構成や戦略は?
小池
「Blue Water」は、「DEF CON CTF Finals」優勝という明確な目標を掲げて結成された国際混成チームです。GMOイエラエからも本戦経験者が複数名参加しており、各分野の専門性に特化した少数精鋭チームです。
事前準備では、競技中の混乱を最小限に抑えるために、インフラ構築やログ管理、解析環境の自動化などを徹底しました。
この大会では、メンバーがどれだけ問題を解けるかという事に加えて、どれだけ「戦える状態を整えられるか」が重要になるので、そこに注力できたことは非常に大きかったと思います。
Q. 「DEF CON CTF Finals」の競技スタイルについても教えてください。
小池
「DEF CON CTF Finals」は「Attack & Defense(A&D)」形式で行われます。これは、各チームが同じサービスのセットを持ち、自チームのサービスを守りながら、他チームのサービスに潜む脆弱性を突いて攻撃するという形式です。
また、攻防の成否に応じて5分ごとにスコアが変動するラウンド制で、問題を解くだけでなく、常に防御・復旧・反撃を同時進行で進める必要があるため、非常にスピーディーかつ高度なチーム連携が求められます。
Q. CTF中、緊張感を覚える場面はありましたか?
小池
「Attack & Defense」形式の「DEF CON CTF Finals」では、5分ごとにスコアが変動するラウンド制で、自チームのサービスを守りつつ、他チームへの攻撃も行う必要があります。
トイレや食事のタイミングすら気を抜けず、誰かが離席している間に攻撃を受けるリスクもあるため、常に周囲の状況に目を配りながら動く必要がありました。
実際、競技中はわずかな油断が命取りになる緊張感がずっと続いていて、集中を切らさずに対応し続けることが求められましたね。
実戦で活きた技術とツール──現場での工夫と選択
Q. CTFではどのようなツールや技術を使いましたか?
小池
私は「ChatGPT」や「Claude」※1を活用しました。また、バイナリ解析が必要な場面では「IDA Pro」※2や「Ghidra」※3といったリバースエンジニアリングツールも使っていました。これらはCTFだけでなく、実務でも重宝しているツールです。
小田切
私は「Claude Code」※1や「Burp Suite」※4などを使いました。「Claude Code」はターミナル上で動くLLM(大規模言語モデル)で、特にクラウドの認証情報まわりの解析に役立ちました。LLMの出力だけで完結せず、どこまで人が補完するかという設計も重要でしたね。
渡部
私も「Claude Code」を使っていました。クラウドの認証情報を投げて自動的に解析させたり、別のスクリプトと併用して探索の並列化を図るなど、いくつかのツールを組み合わせて効率化していました。
Q. そういった技術的な取り組みは、日々の業務にも活かされているのでしょうか?
小田切
はい、特にクラウド診断の分野では大きいですね。「Claude Code」のような生成系ツールを活用することで診断の効率化が進み、既存のワークフローの見直しにもつながっています。
小池
GMOイエラエ社内では、こうしたCTFで得た知見を勉強会や全社会でシェアする文化があるので、自然とチーム全体の技術レベルにも還元されています。こういう「技術の循環」があるのは、セキュリティチームとしての大きな強みだと感じています。
※用語解説
※1「Claude」 /「Claude Code」:Anthropic社の大規模言語モデル「Claude」と、その機能を活用したコーディング支援ツール「Claude Code」。Claude Codeは、対話的にコードを書ける「vibecoding」に対応し、CUI(ターミナル)で利用できる。
※2「IDA Pro」:バイナリファイルを逆アセンブル・解析するための商用リバースエンジニアリングツール。
※3「Ghidra」:米国家安全保障局(NSA)が開発・公開した、無料の逆アセンブル/逆コンパイルツール
※4「Burp Suite」:Webアプリケーションの脆弱性診断に使われる代表的なプロキシツール。
グループ支援制度と、セキュリティの未来へ
Q. 国際ハッキングコンテスト挑戦を支援する「GMOハッキングコンテスト参加応援プログラム」は、今回どのように役立ちましたか?
小池
移動や宿泊といった環境面でのサポートがあることで、競技に集中できる環境が整っていたのは本当にありがたかったです。
また、グループ横断プロジェクト「ネットのセキュリティもGMO」の体現のためにも、GMOイエラエだけでなくこの制度はGMOインターネットグループ全体で広く活用されてほしいと思います。
セキュリティ技術の強化は一部にとどまらず、横断的な取り組みとして捉えるべきだと感じていて、グループ各社にも、今後はぜひ積極的に挑戦してほしいですね。
未来に向けた展望と挑戦
Q. これからさらに挑戦していきたいことや、目指している目標があれば教えてください。
小池
私は「Blue Water」の一員として「DEF CON CTF Finals」に挑む参加者であると同時に、「GMOイエラエ」チームを含むGMOイエラエとしての今回の「DEF CON 33」CTF参加全体を取りまとめる立場でもありました。 「GMOイエラエ」チームが3連覇を果たした今、来年以降は「Cloud Village CTF」だけでなく、他のVillageにおけるCTFにもチームで挑戦していけたらと思っています。セキュリティ業界全体の技術底上げにもつながるような、価値ある活動にしていきたいですね。
渡部
「Cloud Village CTF」は、クラウド分野を専門とする私たちの業務と非常に近く、実践的な知識が問われる競技です。だからこそ、今後はこの枠を超えて、さらにレベルの高いCTFや他のVillageのCTFにも挑戦していきたいです。自分自身も、もっと技術を磨いて成長していかなければと感じています。
小田切
「Cloud Village CTF」に関しては、クラウドセキュリティ課のメンバーだけでもしっかり戦える体制を築いていくことが目標です。その上で、個人としてもいろいろな形式のCTFに積極的に挑戦し、自分の引き出しを増やしていきたいです。
水野
私は「Aerospace Village」で過去に行われていたような、宇宙や航空系のCTFに強く惹かれています。たとえば、衛星の軌道計算や航空機の現在位置を特定するような問題が出ることもあり、非常にユニークでやりがいがあります。今回もその分野のCTFを楽しみにしていたのですが、残念ながら数年前に終了してしまっていたようで…。
ただ、GMOイエラエとしても宇宙産業への関心は高まっており、業務との親和性も感じています。今後また機会があれば、ぜひ挑戦して、得た技術を業務やビジネスに還元していきたいと考えています。
◆「GMOハッキングコンテスト(CTF)参加応援プログラム」とは?
GMOインターネットグループでは、CTFに挑戦するホワイトハッカーを支援するため、「GMOハッキングコンテスト(CTF)参加応援プログラム」を実施しています。遠征費の補助や競技環境の向上、インセンティブの支給など、多方面から挑戦を後押ししています。
CTFは単なる競技ではなく、実戦に近い環境でホワイトハッカーの技術を鍛え、社会に還元する貴重な機会です。攻撃者視点で先を読み、リアルタイムに対応する力は、セキュリティ診断やプロダクト開発にも直結しています。
また、若手ホワイトハッカーが世界に挑戦し、成長することは、日本全体の技術力向上にもつながると私たちは考えています。
GMOインターネットグループは、No.1を追求するホワイトハッカーの挑戦を全力で支援します。
<GMOサイバーセキュリティ byイエラエ 採用情報>
GMOサイバーセキュリティ byイエラエでは、セキュリティの最前線でともに成長していける仲間を募集しています。
🌐 GMOサイバーセキュリティ byイエラエ 採用情報はこちら
▼前編記事はこちらから
【前編】「DEF CON 33」CTFの舞台裏|「Takumi byGMO」が証明したAIの実戦力
GMO Flatt SecurityのメンバーとAIエージェント「Takumi byGMO」が挑んだ「AppSec Village CTF」。
人とAI、それぞれの強みがぶつかり合う中で見えた、可能性と手応えを現地の熱量とともにお届けします。
ブログの著者欄
採用情報
関連記事
-
【前編】「DEF CON 33」 CTFの舞台裏|「Takumi byGMO」が証明したAIの実戦力
技術情報
-
国際ハッキングコンテスト《DiceCTF 2025》決勝で世界2位!GMOイエラエの全記録
技術情報
-
ConoHa AI Canvasで簡単動画生成
技術情報
-
生成AIで静止画カットの一貫性を保つ方法
技術情報
-
Visual Studio Code の Continue 拡張機能から ConoHa VPS の NVIDIA L4 上の Ollama を使用してバイブコーディング環境を作ってみた
技術情報
-
【インタビューVol.4 後編】ルールなき世界に価値を描く。AI×セキュリティに挑む思考と実装
デザイン
KEYWORD
CATEGORY
-
技術情報(498)
-
イベント(185)
-
カルチャー(45)
-
デザイン(39)
TAG
- "eVTOL"
- "Japan Drone"
- "ロボティクス"
- "空飛ぶクルマ"
- 5G
- Adam byGMO
- AI
- AI人財
- AWX
- BIT VALLEY
- Blade
- blockchain
- Canva
- ChatGPT
- ChatGPT Team
- Claude Team
- cloudflare
- cloudnative
- CloudStack
- CM
- CNDO
- CNDT
- CODEGYM Academy
- ConoHa
- ConoHa、Dify
- CS
- CSS
- CTF
- DC
- design
- Designship
- Desiner
- DeveloperExper
- DeveloperExpert
- DevRel
- DevSecOpsThon
- DiceCTF
- Dify
- DNS
- Docker
- DTF
- Expert
- Felo
- GitLab
- GMO AIR
- GMO Developers Day
- GMO Developers Night
- GMO Developers ブログ
- GMO Flatt Security
- GMO GPUクラウド
- GMO Hacking Night
- GMO kitaQ
- GMO SONIC
- GMOアドパートナーズ
- GMOアドマーケティング
- GMOイエラエ
- GMOクラウド]
- GMOグローバルサイン
- GMOサイバーセキュリティbyイエラエ
- GMOサイバーセキュリティ大会議
- GMOサイバーセキュリティ大会議&表彰式
- GMOソリューションパートナー
- GMOデジキッズ
- GMOブランドセキュリティ
- GMOペイメントゲートウェイ
- GMOペパボ
- GMOリサーチ
- Go
- GPUクラウド
- GTB
- Hardning
- Harvester
- HCI
- iOS
- IoT
- ISUCON
- JapanDrone
- Java
- JJUG
- K8s
- Kaigi on Rails
- Kids VALLEY
- LLM
- MetaMask
- MySQL
- NFT
- NVIDIA
- NW構成図
- NW設定
- Ollama
- OpenStack
- Perl
- perplexity
- PHP
- PHPcon
- PHPerKaigi
- PHPカンファレンス
- QUIC
- Rancher
- RPA
- Ruby
- Selenium
- Slack
- Slack活用
- Spectrum Tokyo Meetup
- splunk
- SRE
- SSL
- Terraform
- TLS
- TypeScript
- UI/UX
- vibe
- VLAN
- VS Code
- Webアプリケーション
- XSS
- アドベントカレンダー
- イベントレポート
- インターンシップ
- オブジェクト指向
- オンボーディング
- お名前.com
- カルチャー
- コンテナ
- サイバーセキュリティ
- スクラム
- スペシャリスト
- セキュリティ
- ソフトウェアテスト
- チームビルディング
- デザイン
- ドローン
- ネットのセキュリティもGMO
- ネットワーク
- ヒューマノイド
- ヒューマノイドロボット
- プログラミング教育
- ブロックチェーン
- ベイズ統計学
- マルチプレイ
- ミドルウェア
- モバイル
- ゆめみらいワーク
- リモートワーク
- レンタルサーバー
- 京大ミートアップ
- 人材派遣
- 出展レポート
- 動画
- 協賛レポート
- 基礎
- 多拠点開発
- 大学授業
- 宮崎オフィス
- 展示会
- 応用
- 技育プロジェクト
- 技術広報
- 新卒
- 映像
- 暗号
- 業務効率化
- 業務時間削減
- 機械学習
- 決済
- 物理暗号
- 生成AI
- 視覚暗号
- 階層ベイズ
- 高機能暗号
PICKUP
採用情報
SNS FOLLOW
